AK DS-GVO Intern/Extern: Unterschied zwischen den Versionen

Aus KoMapedia
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(5 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 18: Zeile 18:


* Löschung von Daten:  
* Löschung von Daten:  
:Die Löschung von Daten steht zwischen der Pflicht der Archivierung und dem "Recht auf Vergessenwerden". Grundsätzlich gilt, dass personenbezogene Daten auf Antrag  der betroffenen Person zu löschen sind, sofern keine Hemmnisse bestehen ( Art. 17 DSGVO ). Gemäß der GoDB sind Geschäftsunterlagen (e-Mails, Briefe etc.) mindestens für sechs Jahre zu archivieren. Enthalten diese Unterlagen finanzrelevante Informationen (Rechnungen, Belege, Jahresabschluss etc.) sind diese zehn Jahre zu archivieren.
:Die Löschung von Daten steht zwischen der Pflicht der Archivierung und dem "Recht auf Vergessenwerden". Grundsätzlich gilt, dass personenbezogene Daten auf Antrag  der betroffenen Person zu löschen sind, sofern keine Hemmnisse bestehen ( Art. 17 DSGVO ). Gemäß der GoBD Abschnitt 1.3 sind Geschäftsunterlagen (e-Mails, Briefe etc.) mindestens für sechs Jahre zu archivieren. Enthalten diese Unterlagen finanzrelevante Informationen (Rechnungen, Belege, Jahresabschluss etc.) sind diese zehn Jahre zu archivieren.


* Wie ist mit Altklausuren umzugehen?  
* Wie ist mit Altklausuren umzugehen?  
Zeile 24: Zeile 24:


* Was ist bei Webseiten zu berücksichtigen?  
* Was ist bei Webseiten zu berücksichtigen?  
:Webseiten müssen ein Impressum und eine der DSGVO genügende Datenschutzerklärung enthalten. Auf der Webseite muss die Kontaktmöglichkeit zum zuständigen Datenschutzbeauftragten vermerkt sein.
**Webseiten müssen ein Impressum und eine der DSGVO genügende Datenschutzerklärung enthalten. Auf der Webseite muss die Kontaktmöglichkeit zum zuständigen Datenschutzbeauftragten vermerkt sein.
Sie müssen SSL oder TLS verschlüsselt sein. Veröffentlichte Bilder und andere personenbezogene Daten müssen dem Art. 6 DSGVO genügen. Kann z.B. nicht sichergestellt werden, dass für die Veröffentlichung eines Bildes die Einwilligung der abgebildeten Person  vorliegt oder eingeholt werden kann, so ist dieses Bild umgehend zu löschen.
**Sie müssen SSL oder TLS verschlüsselt sein. Veröffentlichte Bilder und andere personenbezogene Daten müssen dem Art. 6 DSGVO genügen. Kann z.B. nicht sichergestellt werden, dass für die Veröffentlichung eines Bildes die Einwilligung der abgebildeten Person  vorliegt oder eingeholt werden kann, so ist dieses Bild umgehend zu löschen.
 


* Dürfen Webseiten von Studierendenvertretungen bei Privatpersonen gehostet werden?  
* Dürfen Webseiten von Studierendenvertretungen bei Privatpersonen gehostet werden?  
Zeile 33: Zeile 32:
:Wer eine solche Person benötigt, regelt der    Art. 37 Abs. 1 DSGVO. Demnach ist davon auszugehen, dass alle Studierenden-vertretungen eine solche Person ernennen müssen. Die Frage ob ein FSR / Referat etc. einen eigenen Datenschutzbeauftragten benötigt, ist abhängig davon ob dieser unter der Rechtsaufsicht seines StuRa / StuPa steht oder rechtlich eigenständig ist (Art. 37 Abs. 1 und 2). Bei unklaren Zusammenhängen sollte ein Rechtsanwalt oder der Landesdatenschutzbeauftragte kontaktiert werden.
:Wer eine solche Person benötigt, regelt der    Art. 37 Abs. 1 DSGVO. Demnach ist davon auszugehen, dass alle Studierenden-vertretungen eine solche Person ernennen müssen. Die Frage ob ein FSR / Referat etc. einen eigenen Datenschutzbeauftragten benötigt, ist abhängig davon ob dieser unter der Rechtsaufsicht seines StuRa / StuPa steht oder rechtlich eigenständig ist (Art. 37 Abs. 1 und 2). Bei unklaren Zusammenhängen sollte ein Rechtsanwalt oder der Landesdatenschutzbeauftragte kontaktiert werden.
* Reichen mündliche Einverständniserklärungen für z.B. Bildaufnahmen?  
* Reichen mündliche Einverständniserklärungen für z.B. Bildaufnahmen?  
:Zur eigenen Sicherheit lautet die Antwort  nein! Gemäß Art. 8 Abs. 1 DSGVO ist die Einwilligung zu jedem Zeitpunkt nachzuweisen. Bei einer Einwilligung sollte mindestens geklärt werden:
*:Zur eigenen Sicherheit lautet die Antwort  nein! Gemäß Art. 8 Abs. 1 DSGVO ist die Einwilligung zu jedem Zeitpunkt nachzuweisen. Bei einer Einwilligung sollte mindestens geklärt werden:
** Wer erteilt wem die Einwilligung?
** Wer erteilt wem die Einwilligung?
** Welche Daten werden erhoben?
** Welche Daten werden erhoben?
** Wie lange werden sie gespeichert und verarbeitet?
** Wie lange werden sie gespeichert und verarbeitet?
** Für welchen Verwendungszweck werden die Daten erhoben?
** Für welchen Verwendungszweck werden die Daten erhoben?
** Wie kann die Einwilligung widerrufen werden?
** Wie kann die Einwilligung widerrufen werden?
Genaueres regelt Art. 13.
:Genaueres regelt Art. 13.
* Darf der Mail-Verkehr über Privatrechner laufen?  
* Darf der Mail-Verkehr über Privatrechner laufen?  
:Prinzipiell dürfen Privatrechner verwendet werden, es muss jedoch sichergestellt werden, dass keine schutzbedürftigen Daten auf einem solchen Privatrechner oder auf einem privaten Mailaccount gespeichert werden.
:Prinzipiell dürfen Privatrechner verwendet werden, es muss jedoch sichergestellt werden, dass keine schutzbedürftigen Daten auf einem solchen Privatrechner oder auf einem privaten Mailaccount gespeichert werden.
Zeile 46: Zeile 45:
* Dürfen Namen in Protokollen stehen?  
* Dürfen Namen in Protokollen stehen?  
:Diese Frage ist nicht eindeutig beantwortbar. Gemäß    Art. 6 Abs. 1 c) und Abs. 1 e) DSGVO können Namen in Protokollen vermerkt werden. Hierfür kann bei Vereinsstrukturen der § 58 Abs. 4 BGB herangezogen werden oder das öffentliche Interesse an den Tätigkeiten der Studierendenvertretung als öffentliche (Teil)Körperschaft.
:Diese Frage ist nicht eindeutig beantwortbar. Gemäß    Art. 6 Abs. 1 c) und Abs. 1 e) DSGVO können Namen in Protokollen vermerkt werden. Hierfür kann bei Vereinsstrukturen der § 58 Abs. 4 BGB herangezogen werden oder das öffentliche Interesse an den Tätigkeiten der Studierendenvertretung als öffentliche (Teil)Körperschaft.
== Referenzen ==
<references/>
[[Kategorie:Arbeitskreis]]

Aktuelle Version vom 31. Oktober 2024, 08:18 Uhr

Die DS-GVO ist am 24.05.2016 in Kraft getreten und seit dem 25.05.2018 anzuwenden. Alle Studierendenschaften und Studierendenvertretungen sind verpflichtet die in der Verordnung festgelegten Regelungen einzuhalten.

Eine aktuelle Übersicht der einzelnen Artikel könnt ihr hier finden.


Ergebnisse KoMa-82

 !!! Achtung !!! Nachfolgende Informationen sind nicht rechtsverbindlich. Sie dienen lediglich als Orientierungshilfe

  • Was ist bei der Kommunikation über Nicht-HS-Server zu beachten?
Die Kommunikation über z.B. Facebook ist sehr kritisch zu sehen. Bei der Übermittlung von personenbezogenen Daten können die Studierendenvertretungen nicht sicherstellen, dass die Daten gemäß der DSGVO behandelt werden. Beratungen und andere Kommunikationen, welche personenbezogen Daten enthalten, sollten daher ausschließlich über die Server der Studierendenvertretungen oder Hochschule erfolgen.
  • Wie ist mit Mailverteilern umzugehen?
Übliches Vorgehen stellt eine Infomail über die Mitgliedschaft im Mailverteiler inc. eines Hinweises auf die Datenschutzrichtlinie dar. Das Eintragen in einen Mailverteiler ist mit einem Opt-in zu versehen.
  • Löschung von Daten:
Die Löschung von Daten steht zwischen der Pflicht der Archivierung und dem "Recht auf Vergessenwerden". Grundsätzlich gilt, dass personenbezogene Daten auf Antrag der betroffenen Person zu löschen sind, sofern keine Hemmnisse bestehen ( Art. 17 DSGVO ). Gemäß der GoBD Abschnitt 1.3 sind Geschäftsunterlagen (e-Mails, Briefe etc.) mindestens für sechs Jahre zu archivieren. Enthalten diese Unterlagen finanzrelevante Informationen (Rechnungen, Belege, Jahresabschluss etc.) sind diese zehn Jahre zu archivieren.
  • Wie ist mit Altklausuren umzugehen?
Sofern Altklausuren keine personenbezogen Daten enthalten fallen sie nicht unter die DSGVO. Für sie ist jedoch das UrhG zuständig.
  • Was ist bei Webseiten zu berücksichtigen?
    • Webseiten müssen ein Impressum und eine der DSGVO genügende Datenschutzerklärung enthalten. Auf der Webseite muss die Kontaktmöglichkeit zum zuständigen Datenschutzbeauftragten vermerkt sein.
    • Sie müssen SSL oder TLS verschlüsselt sein. Veröffentlichte Bilder und andere personenbezogene Daten müssen dem Art. 6 DSGVO genügen. Kann z.B. nicht sichergestellt werden, dass für die Veröffentlichung eines Bildes die Einwilligung der abgebildeten Person vorliegt oder eingeholt werden kann, so ist dieses Bild umgehend zu löschen.
  • Dürfen Webseiten von Studierendenvertretungen bei Privatpersonen gehostet werden?
Webseiten sollten nicht bei Privatpersonen gehostet werden. Andernfalls ist ein entsprechender Vertrag gemäß Art. 28 DSGVO zu schließen und sicherzustellen, dass der Vertragspartner in der Lage ist die Vorgaben der DSGVO zu erfüllen.
  • Wer benötigt einen Datenschutzbeauftragten?
Wer eine solche Person benötigt, regelt der Art. 37 Abs. 1 DSGVO. Demnach ist davon auszugehen, dass alle Studierenden-vertretungen eine solche Person ernennen müssen. Die Frage ob ein FSR / Referat etc. einen eigenen Datenschutzbeauftragten benötigt, ist abhängig davon ob dieser unter der Rechtsaufsicht seines StuRa / StuPa steht oder rechtlich eigenständig ist (Art. 37 Abs. 1 und 2). Bei unklaren Zusammenhängen sollte ein Rechtsanwalt oder der Landesdatenschutzbeauftragte kontaktiert werden.
  • Reichen mündliche Einverständniserklärungen für z.B. Bildaufnahmen?
    Zur eigenen Sicherheit lautet die Antwort nein! Gemäß Art. 8 Abs. 1 DSGVO ist die Einwilligung zu jedem Zeitpunkt nachzuweisen. Bei einer Einwilligung sollte mindestens geklärt werden:
    • Wer erteilt wem die Einwilligung?
    • Welche Daten werden erhoben?
    • Wie lange werden sie gespeichert und verarbeitet?
    • Für welchen Verwendungszweck werden die Daten erhoben?
    • Wie kann die Einwilligung widerrufen werden?
Genaueres regelt Art. 13.
  • Darf der Mail-Verkehr über Privatrechner laufen?
Prinzipiell dürfen Privatrechner verwendet werden, es muss jedoch sichergestellt werden, dass keine schutzbedürftigen Daten auf einem solchen Privatrechner oder auf einem privaten Mailaccount gespeichert werden.
  • Welche Regelung gibt es für Hochschulwahlen?
Eine Hochschulwahl stellt eine rechtliche Verpflichtung einer Hochschule bzw. einer Studierendenschaft dar. Die Verarbeitung von personenbezogen Daten ist damit gemäß Art. 6 Abs. 1 c) ohne Zustimmung zulässig, sofern diese nur zum Zweck der Durchführung der Wahl genutzt werden.
  • Dürfen Namen in Protokollen stehen?
Diese Frage ist nicht eindeutig beantwortbar. Gemäß Art. 6 Abs. 1 c) und Abs. 1 e) DSGVO können Namen in Protokollen vermerkt werden. Hierfür kann bei Vereinsstrukturen der § 58 Abs. 4 BGB herangezogen werden oder das öffentliche Interesse an den Tätigkeiten der Studierendenvertretung als öffentliche (Teil)Körperschaft.

Referenzen

<references/>